专利名称:基于位置感知证书的认证的方法和系统的制作方法
技术领域:
本文公开的主题涉及安全,并且具体地涉及基于相对于第二设备的第一设备的位置的、在第一设备和第二设备之间的相互证书认证。
背景技术:
在许多情况下,用于公用事业(utility)行业的多种设备都部署在杆顶、人孔、分站和用于收集数据、发送数据、执行电网操作等的其它位置中。这些设备大多将它们的位置存储在数据库资料库中,或现在配备有诸如GPS接收器等等的定位设备。虽然这些设备一般都是从中央场所操作,但在许多情况下,期待这样的设备能够用邻近设备的手持设备来操作。然而,期望这个访问是安全的,以便保护数据和保护公用事业设备在其上操作的系统。
保护在诸如驻留在公用事业设备和手持设备上软件应用之类的分布式软件应用之间的消息,通常需要使用应用之间的公钥-私钥对交换。密钥通常分布在公钥基础设施(PKI)内,其中公钥通过证书授权(CA)绑定到其各自的用户身份。然而,在许多情况下,一旦被认证,应用就能够根据它们的认证从任何位置以不受限的持续时间彼此访问。因此,需要基于第一设备和第二设备相对于彼此的位置执行在第一设备和第二设备之间的相互(mutual)证书认证的系统和方法。
发明内容
本文所描述的是用于执行第一设备(例如移动设备或手持单元)和第二设备(例如,公用事业设备)间的相互证书认证的系统和方法的实施例,其中基于第一设备相对于第二设备的当前位置,根据请求将证书颁发给第一设备和第二设备。在一个方面,描述了基于位置的、在第一设备和第二设备之间的相互证书认证的方法。方法的这个实施例包括接收来自第一设备的请求,其中请求包括第一设备的位置;响应于请求为第一设备登记第一公钥,其中登记将第一设备与第一公钥关联;基于相对于第一设备的位置的第二设备的位置来确定第一设备能够访问的至少一个第二设备;为第二设备登记第二公钥,其中登记将第二设备与第二公钥关联;将第二公钥发送给第一设备;将第一公钥发送给第二设备;以及当第一设备和第二设备连接时对第二设备相互认证第一设备。在另一方面,描述了基于位置的、在第一设备和第二设备之间的相互证书认证的方法。方法的这个实施例包括从第一设备发送请求到服务器,其中请求包括用于第一设备的位置信息;由驻留在第一设备上的第一软件代理生成第一公钥和第一私钥;由服务器为第一设备登记第一公钥,其中登记将第一设备与第一公钥关联;由服务器颁发第一证书给第一设备;由服务器基于相对于第一设备的第二设备的位置来确定第一设备可访问的至少一个第二设备;由服务器将第一设备请求访问第二设备通知给第二设备;响应于通知,由驻留在第二设备上的第二软件代理生成第二公钥和第二私钥;由服务器为第二设备登记第二公钥,其中登记将第二设备与第二公钥关联;由服务器颁发第二证书给第二设备;由服务器发送第二公钥给第一设备;由服务器发送第一公钥给第二设备;以及当第一设备和第二设备连接时由服务器对第一证书和第二证书进行相互认证。在又一方面,描述了用于基于位置的、在第一设备和第二设备之间的相互证书认证的系统。系统的这个实施例包括第一设备,其中第一设备至少包括在第一处理器上执行的第一软件代理和第一通信接口,并且第一设备配置成确定其位置;第二设备,其中第二设备至少包括在第二处理器上执行的第二软件代理和第二通信接口 ;至少包括存储器、月艮务器通信接口和服务器处理器的服务器,其中服务器配置成与第一设备和第二设备通信,并且其中服务器处理器配置成从第一设备接收请求,其中请求包括第一设备的位置;响应于请求为第一设备登记第一公钥,其中登记将第一设备与第一公钥关联;基于相对于第一设备的位置的第二设备的位置来确定第一设备能够访问的至少一个第二设备;为第二设备登记第二公钥,其中登记将第二设备与第二公钥关联;将第二公钥发送给第一设备;将第一公钥发送给第二设备;以及当第一设备和第二设备连接时对第二设备相互认证第一设备。 附加的优点将在如下描述中部分阐述,或可通过实践了解到。将通过在所附的权利要求中具体指出的元件及组合来实现和得到优点。可以理解的是,如声明的那样,上述的一般性描述和下面的详细的描述只是示范性和解释性的,而不是限制性的。
并入并构成本说明书的一部分的附图示出了实施例,并连同说明一起用于解释方法和系统的原理
图I是将受益于本发明的实施例的一类系统的概略 图2是将受益于本发明的实施例的一类系统的另一概略 图3是用于基于位置的、在第一设备和第二设备之间的相互证书认证的系统的一个实施例的概略 图4是用于基于位置的、在第一设备和第二设备之间的相互证书认证的系统的一个备选实施例的概略 图5示出能够作为按照本发明的一个实施例所示的第一设备或第二设备中的一个操作的实体的示意框 图6A和图6B示出图5中所示的实体的备选实施例并示出能够作为第一设备或第二设备中的一个操作的实体的示意框图的实施例;
图7是示出实现本发明的实施例的方法的流程 图8是示出用于执行所公开的方法的示范性操作环境的框图。
具体实施例方式在公开和描述本方法和系统之前,可以理解的是,方法和系统不限于特定的综合方法、特定的组件或具体的组成。也可以理解,本文所使用的术语只是为了描述具体的实施例而无限制的意图。如在说明书和所附的权利要求中所用的,除非上下文明确指示,单数形式的“一”、“一个”和“该”包括复数的指代对象。本文的范围可表达为从“大约”一个具体值和/或到“大约”另一个具体值。当表达这样的范围时,另一个实施例包括从一个具体值和/或到另一个具体值。同样,当值通过使用先行词“大约”作为近似表达时,将理解的是,具体值形成另一个实施例。将进一步理解的是,无论是在关系到另一个端点还是与另一个端点无关,每一个范围的端点都是重要的。此外,当本文提供范围的示例时,可以理解的是,除非另有明确规定外,给定的范围还包括其间的所有子域。“可选的”或“可选地”是指随后描述的事件或情况可能会发生或可能不会发生,并且该描述包括所述事件或情况发生的情形和所述事件或情况不发生的情形。贯穿本说明书的描述和权利要求,词语“包括”及其诸如“包括有”和“包括了”之类的变形是指“包括但不限于”的意思,并无意排除例如其他附加物、组件、整体或步骤。“示范性”是指“一个示例”而无意于传达优选实施例或理想实施例的指示。不在限制性的意义上使用“诸如”,而是为了解释性目的。 所公开的是可以用来执行公开的方法和系统的组件。本文公开了这些和其它的组件,并且可以理解的是,当公开这些组件的组合、子集、相互作用和组时,而可能没有明确公开每个不同个体的特定引用以及这些的集体性组合和排列,但对于所有的方法和系统,每一个都在本文中特别设想和描述。这适用于此应用的所有方面,包括但不限于在公开的方法中的步骤。因此,如果有多种能够执行的附加步骤,可以理解的是,这些附加步骤的每一个都可以结合公开的方法的任一特定实施例或实施例的组合来执行。通过参照以下的对优选实施例和其中包括的示例的详细说明,以及参照附图和前面和以下对它们的描述,可更容易地理解本方法和系统。在许多情况下,用于公用事业行业的多种设备都部署在杆顶、人孔、分站和用于收集数据、发送数据、执行电网操作等的其它位置。在许多情况下,这些设备的位置(例如,坐标)存储在数据库或计算机可访问的中央资源库中,或者公用事业设备配备了诸如GPS接收器等等的定位设备。虽然绝大多数的这些公用事业设备能够从中央场所操作,但它们也能够用邻近设备的移动设备(例如,手持设备)来操作。一般来说,移动设备无线地访问或连接到公用事业设备,尽管设想有线(包括光纤)连接也在本发明实施例的范围内。所描述的发明的实施例能够执行在第一设备(例如,移动设备或手持单元)和第二设备(例如,公用事业设备)之间的相互证书认证。认证证书基于第一设备相对于第二设备的当前位置、根据请求颁发给第一设备和第二设备。在一个方面,证书可能只在很短的时间段内有效。当第一设备打算与现场内的另一个公用事业设备开始连接时,将一个新证书颁发给第一设备,并且根据它的位置以及基于第一设备被授权执行操作的设备列表,将新证书颁发给在第一设备的既定距离内的公用事业设备。一旦证书被颁发和交换,第一设备(例如,移动设备)可以向邻近的公用事业设备认证自身。本发明的实施例有助于防止欺诈用户使用不同的移动设备来获得在不同的位置访问公用事业设备,并有助于防止在移动设备丢失或被盗时的连锁性故障。实施例还防止移动设备在不同的地理区域访问公用事业设备。因此,描述的实施例的技术效果是,当第一设备和第二设备彼此处在预定的距离或半径处或在预定的距离或半径之内时,在第一设备和第二设备之间允许访问和保障通信安全。在一个方面,不论第一设备和第二设备的接近,这样的访问可能会被限制在既定持续时间内。图I示出根据一个实施例的示范性分布式系统100。分布式系统100包括管理服务器102。正如在下面更详细地描述的那样,管理服务器102管理系统100中的软件应用间的密钥对分配。因而,在一个实施例中,管理服务器102是PKI管理控制台。在一个实施例中,将密钥提供给驻留在例如第一设备104和一个或多个第二设备106上的软件应用。虽然是作为服务器102示出,但管理控制台可以在服务器或其它计算设备中实现。图I所示的系统100还包括通信网络108。网络的物理介质可以是有线的(包括光纤)或无线的,或有线和无线的组合。通信网络108可以是现在已知的或以后开发的任何类型的通信网络。例如,通信网络108能够是互联网、专用网、局域网(LAN)或广域网(WAN)。应该理解的是,通信网络108能够包括多于一个网络。例如,在一个实施例中,通信网络108能够包括与WAN通信的LAN。在另一个实施例中,通信网络108能够包括在单台服务器内的内部总线和其它网络的任意组合。如果一个或多个软件应用驻留在同一个服务器上,则这样的实施例可能存在。在一个方面,网络108使得示范性系统100的设备102、104、106相互连接。在一个方面,系统100的实施例还能够包括一个或多个驻留的软件应用110、112, 其中软件应用110、112配置成在与第一设备104和第二设备106关联的一个或多个处理器上执行。软件应用110、112通信式地耦合到通信网络108,以便它们能够相互通信以及与管理服务器102通信。在操作中,第一设备104的软件应用110和第二设备106的软件应用112使得第一设备104和第二设备106通过网络108相互连接。在系统100的一个实施例中的软件应用110、112的数量是可变的,不受限的,并取决于上下文。在一个实施例中,软件应用110、112能够都位于不同的设备104、106上。在另一个实施例中,至少一个软件应用110、112与另一个软件应用位于同一设备上。在一个实施例中,一个或多个软件应用110、112可能需要传递加密信息给软件应用110、112中的另一个和从软件应用110、112中的另一个接收加密信息。在这样的一个实施例中,软件应用110、112需要相互交换公钥。应该理解,软件应用110、112可能需要相互发送数字签名的消息。在这种情况下,并通过举例的方式,软件应用110能够向管理服务器102登记它的公钥,并且然后软件应用112能够订阅那个公钥。类似地和通过举例的方式,软件应用112能够用管理服务器102登记它的公钥,并且然后软件应用110能够订阅那个公钥。在操作中,软件应用110能够用它的私钥签署发送给软件应用112的消息,并且软件应用112能够用它的私钥签署发送给软件应用110的消息。然后软件应用110、112能够使用从管理控制台102接收到的公钥验证签名。在一个方面,为第一设备104登记第一公钥包括服务器102为第一设备104生成公钥/私钥对和将密钥对分配给第一设备104。在另一方面,为第一设备104登记第一公钥包括服务器102从第一设备104接收第一公钥,其中驻留在第一设备104上的软件代理110为第一设备104生成公钥/私钥对。在一个方面,为第二设备106登记第二公钥包括服务器102为第二设备106生成公钥/私钥对和将密钥对分配给第二设备106。在另一方面,为第二设备106登记第二公钥包括服务器102从第二设备106接收第二公钥,其中驻留在第二设备106上的软件代理112为第二设备106生成公钥/私钥对。在一个方面,第一公钥或第二公钥只有在第一设备104位于离第二设备106既定距离处或位于离第二设备106既定距离之内时才是有效的。在另一方面,第一公钥或第二公钥只有在既定的时间段内才是有效的。根据一个实施例,管理服务器102配置成管理软件应用110、112间的密钥交换。这样,在一个实施例中,管理服务器102耦合到中央密钥存储,其中中央密钥存储为软件应用110、112中的一些或全部存储公钥并存储与存储的公钥相关联的任何信息。相关联的信息能够包括例如驻留在允许在密钥过期时接收公钥的设备上的、其它软件应用的标识;拥有公钥的设备的位置(如坐标);在拥有公钥的设备的周围的既定半径或距离,其中设备能够访问位于该既定距离或半径处或位于该既定距离或半径之内的其它设备的公钥(一个或多个);以及类似信息。一般地,中央密钥存储是数据库,并能够包括在管理服务器102内或作为与管理服务器102单独的实体。例如,在备选实施例中,与管理服务器连接的中央密钥存储连接可以是通过通信网络108或直接连接到管理服务器102 (或在管理服务器102之内)。在一个实施例中,中央密钥存储是作为利用轻量目录访问协议(LDAP)的数据库来实施的。在一个实施例中,管理服务器102可耦合到用户终端(未示出),其中用户终端允许用户(例如,系统管理员)提供信息给管理服务器102。在一个实施例中,系统管理员将与特定的软件应用有关的信息提供给管理服务器102,其中特定的软件应用能够在管理控制台服务器上登记/存储它们的公钥,或者能够使用管理控制台102生成密钥对并存储生成的公钥。密钥对的生成能够以已知的方式来实施。在备选的实施例中,与能够利用管理服务 器102的特定的软件应用有关的信息能够从其它来源接收到。每一个软件应用110、112也被耦合到应用密钥存储。应用密钥存储能够分别通过任何已知的或以后开发的密钥工具来维持。密钥工具是密钥和证书管理实用程序。它使软件应用110、112能够使用数字签名来管理在自我认证(其中软件应用向其它软件应用认证自身)或数据完整性和认证服务中使用的、它们自己的公钥/私钥对以及相关证书。它也允许软件应用110、112高速缓存它们的其它软件应用的公钥(可选地,以证书的形式)。密钥工具可以由已知的方法实现。如上所述,管理服务器102可控制公钥的分配。现在参照图2,系统100的操作的示例可能是有信息量的。假设第一设备104希望访问第二设备106,其中第二设备是在第一设备104的预定距离(半径=r)116之内。例如,第一设备104能够是诸如手持式读表设备之类的移动设备,并且第二设备106能够是诸如例如公用事业电表(例如,智能电表)之类的公用事业设备。并且,作为非限制的示例,预定距离或半径(r)能够是50英尺、50米、50石马、100英尺、100米、100石马、1000英尺、1000米、1000码等以及在其间的任何距离。一个公用事业设备的其它示例能够包括例如相量测量单元、相量数据集中器、电力质量产品等。移动设备的其它示例能够包括例如现场设备/手持设备、带有GPS能力的膝上型计算机、带有GPS能力的移动电话、诸如iPad (苹果公司,加利福尼亚州库比提诺市(Cupertino,CA 和思科Cius (思科系统公司,加利福尼亚州圣何塞市(San Jose, CA))之类的平板设备等。第一设备104可发送加密消息给第二设备106以便从第二设备106检索数据(诸如电消耗信息),并且第二设备可以用加密方式将数据传给第一设备104。因此,需要一种基于位置的、在第一设备104和第二设备106之间的相互证书认证的方法。该方法的一个实施例包括服务器102从第一设备104接收请求,其中请求还包括第一设备的位置。例如,第一设备104能够配备诸如GPS接收器等等的定位设备,并且第一设备104的位置能够随请求一起传送到服务器102。在一个方面,请求是对访问第二设备106的请求,其中第二设备106是在第一设备104的位置的一定距离内或在其半径116内。请求可以通过网络108向服务器102做出。在一个方面,网络108的至少一部分能够包括高级量测架构(AMI)网络。AMI是指测量、收集和分析能量使用并根据请求(需求)或预定计划通过各种通信介质与诸如电表、气表、水表等之类的高级设备相互作用的系统。这个架构包括硬件、软件、通信、用户能量显示和控制器、客户关联系统、仪表数据管理(MDM)软件、供应商和网络分配商业系统等。在设备104、106和服务器102之间的网络108允许收集信息和将信息发布给客户、供应商、公用事业公司和服务提供商。这使得这些企业或参与或提供需求响应的解决方案、产品和服务。通过向客户提供信息,系统响应于价格变化或激励而协助能源使用从它们的正常消费模式改变,该奖励设计成旨在鼓励在需求高峰时期时或在更高的批发价格时或在操作的系统可靠性低的时期有较低的能源使用。在一个方面,网络108能够包括智能电网网络的至少一部分。在一个方面,网络108能够利用一个或多个WPAN (例如,ZigBee,蓝牙)、LAN/WLAN (例如,802. lln、微波、激光、红外等)、WMAN (例如,WiMAX 等)、WAN/ffffAN (例如,UMTS、GPRS、EDGE、CDMA、GSM、CDPD、Mobitex、HSDPA, HSUPA、3G 等)、RS232、USB、火线(Firewire)、以太网、无线 USB、蜂窝电话、OpenHAN,电力线载波(PLC)、宽带电力线(BPL)等的一个或多个。响应由服务器102从第一设备104接收到的请求,第一设备104向服务器102为 第一设备104登记第一公钥,其中登记将第一设备104与第一公钥关联。在一个方面,响应于请求为第一设备104登记第一公钥包括服务器102为第一设备104生成公钥/私钥对和将密钥对分配给第一设备104。在另一方面,响应于请求为第一设备104登记第一公钥包括服务器102从第一设备接收第一公钥,其中驻留在第一设备104上的软件代理110为第一设备104生成公钥/私钥对。服务器102配置成基于相对于第一设备104的位置的第二设备106的位置来确定第一设备104能够访问的至少一个第二设备106。在一个方面,诸如第二设备106和第三设备114之类的一个或多个设备的位置存储在与服务器102关联的存储器内,以使服务器102能够基于相对于第一设备104的位置的第二设备106的位置、使用由第一设备104提供的位置来确定第一设备104能够访问的至少一个第二设备106。在另一方面,服务器102通过网络108与诸如第二设备106和第三设备114之类的设备通信,并且这些设备106、114进一步包括诸如GPS接收器等等的定位设备,并且设备106、114将它们的位置传送给服务器102,并且服务器102能够基于相对于第一设备104的位置的第二设备106的位置、使用由设备106、114提供的位置来确定第一设备104能够访问的至少一个第二设备106。服务器102为第二设备106登记第二公钥,其中登记将第二设备106与第二公钥关联。在一个方面,为第二设备106登记第二公钥包括服务器102为第二设备106生成公钥/私钥对,并将密钥对分配给第二设备106。在另一方面,为第二设备106登记第二公钥包括服务器102从第二设备106接收第二公钥,其中驻留在第二设备106上的软件代理112为第二设备106生成公钥/私钥对。服务器102通过网络108将第二公钥发送给第一设备104并将第一公钥发送给第二设备106。作为每一个,第一设备104和第二设备106现在分别有第二公钥和第一公钥,当第一设备104和第二设备106连接时,第一设备104和第二设备相互认证。在一个方面,第一公钥或第二公钥只有在第一设备104位于第二设备106的既定距离116处或位于第二设备106的既定距离116之内时才是有效的。因此,在一个方面,第一设备104连续地或间歇地将其位置信息发送给服务器102,以便当第一设备104移动到预定距离或半径(r)之外的位置时,按照PKI协议第一公钥或第二公钥不再有效,就这样,第一设备104不能够维持与第二设备106的连接或通信。在另一方面,第一公钥或第二公钥只在既定时间段内才有效。图3是用于基于位置的、在第一设备104和第二设备106之间的相互证书认证的系统300的一个实施例的概略图。在一个方面,第一设备是移动设备而第二设备是公用事业设备。在一个方面,公用事业设备是公用事业电表。在其它方面,公用事业设备的示例能够包括例如相量测量单元、相量数据集中器、电力质量产品等。移动设备的其它示例能够包括例如现场设备/手持设备、带有GPS能力的膝上型计算机、带有GPS能力的移动电话、诸如iPad (苹果公司,加利福尼亚州库比提诺市(Cupertino,CA))和思科Cius (思科系统公司,加利福尼亚州圣何塞市(San Jose, CA))之类的平板设备等。系统的所示实施例包括第一设备104。在一个方面,第一设备104至少包括在第一处理器上执行的第一软件代理302和第一通信接口 304。在一个方面,第一设备104配置成使用诸如例如GPS接收器、蜂窝电话或移动电话接收器的三角测量(triangulation)等等的定位设备306确定其位置。图3中所示的实施例进一步包括第二设备106。在一个方面,第二设备106至少包括在第二 处理器上执行的第二软件代理308和第二通信接口 310。图3的系统300的实施例还包括服务器102。在一个方面,服务器102至少包括存储器312、服务器通信接口 314和服务器处理器316。在一个方面,服务器102配置成通过网络108与第一设备104和第二设备106通信。在一个方面,服务器处理器316配置成接收来自第一设备104的请求。从第一设备104来的请求中包含第一设备104的位置。服务器处理器316进一步配置成响应于请求为第一设备104登记第一公钥。登记将第一设备104与第一公钥关联。在一个方面,响应于请求为第一设备104登记第一公钥包括服务器处理器316为第一设备104生成公钥/私钥对和将密钥对分配给第一设备104。在一个方面,响应于请求为第一设备104登记第一公钥包括服务器102接收来自第一设备104的第一公钥,其中驻留在第一设备104上的第一软件代理302为第一设备104生成公钥/私钥对。服务器处理器316配置成基于相对于第一设备104的位置的第二设备106的位置来确定第一设备104能够访问的至少一个第二设备106和为第二设备106登记第二公钥。登记将第二设备106与第二公钥关联。在一个方面,基于相对于第一设备104的位置的第二设备106的位置来确定第一设备104能够访问的至少一个第二设备106,包括服务器处理器316从存储在存储器312中的数据库检索存储的一个或多个第二设备106的位置,并将第一设备104的位置与一个或多个第二设备106的位置比较来确定第二设备106是否在离第一设备104的既定距离处或在离第一设备104的既定距离之内。在另一方面,第二设备106配置成确定其位置,并且基于相对于第一设备104的位置的第二设备106的位置来确定第一设备104能够访问的至少一个第二设备106,包括服务器处理器316从第二设备106接收位置信息,并将第一设备104的位置与第二设备106的位置比较来确定第二设备106是否在离第一设备104的既定距离处或在离第一设备104的既定距离之内。在一个方面,为第二设备106登记第二公钥包括服务器处理器316为第二设备106生成公钥/私钥对和将密钥对分配给第二设备106。在另一方面,为第二设备106登记第二公钥包括服务器102从第二设备106接收第二公钥,其中驻留在第二设备106上的第二软件代理308为第二设备106生成公钥/私钥对。服务器处理器316进一步配置成将第二公钥发送给第一设备104,将第一公钥发送给第二设备106,并且在第一设备和第二设备连接时对第一设备104和第二设备106进行相互认证。在一个方面,第一公钥或第二公钥只有在第一设备104位于第二设备106的既定距离处或位于第二设备106的既定距离之内时才是有效的。在另一方面,第一公钥或第二公钥只在既定时间段内有效。图4是用于基于位置的、在第一设备104和第二设备106之间的相互证书认证的系统400的一个备选实施例的概略图。在这个备选的实施例中,第二设备106配置成使用诸如例如GPS接收器、蜂窝电话或移动电话接收器的三角测量等等的定位设备402确定其位置。因此,当服务器处理器316基于相对于第一设备104的位置的第二设备106的位置来确定第一设备104能够访问的至少一个第二设备106时,包括从第二设备106接收由第二设备106的定位设备402所确定的位置信息,并将第一设备104的位置与第二设备106的位置进行比较以确定第二设备106是否在离第一设备104的既定距离处或位于离第一设备104的既定距离之内。现在参照图5,示出了按照本发明的一个实施例的、能够作为第一设备104或第二 设备106中的一个操作的实体的示意框图。能够作为第一设备104或第二设备106中的一个操作的实体包括用于执行根据本发明的实施例的一个或多个功能的各种单元,包括那些在本文中更具体地示出和描述的单元。然而,应该理解的是,一个或多个实体可包括用于执行一个或多个类似的功能的备选单元而不偏离本发明的精神和范围。如图所示,能够作为第一设备104或第二设备106中的一个操作的实体一般能够包括诸如用于执行或控制实体的各种功能的一个或多个处理器504之类的单元。在一个方面,一个或多个处理器能够是例如一个或多个NECv850系列微处理器(NEC公司,日本东京)和/或可从Maxim集成产品公司(Maxim Integrated Products, Inc,加利福尼亚州森尼韦尔市(Sunnyvale,California))得到的Teridian 6533控制器或Teridian 6521控制器等。如图5所示,在一个实施例中,第一设备104或第二设备106中的一个能够包括能够用于确定第一设备104或第二设备106中的一个的当前位置的定位设备502。在各个方面,定位设备502能够包括一个或多个GPS (全球定位系统)接收器、能够进行三角测量以确定位置的蜂窝电话或其它移动通信接收器等,如本领域的普通技术人员所知道的那样。第一设备104或第二设备106中的一个的这个实施例进一步包括一个或多个处理器504和存储器506。在一个实施例中,一个或多个处理器504与存储器506通信或包括存储器506,其中存储器506是诸如存储内容、数据等的易失性和/或非易失性存储器。例如,存储器506可存储从实体传送和/或由实体接收的内容。还例如,存储器506可存储软件应用、指令等以使一个或多个处理器504执行与根据本发明的实施例的实体的操作关联的步骤。特别地,一个或多个处理器504可配置成执行在本文中更详细讨论的过程,以使用定位设备502确定实体的位置;将请求传送给单独的实体(例如,服务器102),其中请求是访问在实体的既定距离内的第二设备。请求包括实体的位置信息。在一个方面,处理器504能够配置成为实体接收已经由诸如服务器102之类的单独的设备创建的公钥/私钥对并将密钥对存储在存储器506中。在另一方面,处理器504能够可配置成使用至少有一部分驻留在存储器506中的软件代理为实体生成公钥/私钥对,并至少将公钥传送给诸如服务器102之类的单独的设备。处理器504也能够配置成接收第二设备的公钥并如下地对第二设备相互认证自身从第二设备接收已经被实体的公钥加密的加密消息并用实体的私钥解密消息并且同时用第二设备的公钥加密信息并将加密的消息传送给第二设备。在一个方面,相互认证的过程能够涉及诸如服务器102之类的被信赖的中介的使用。除了存储器506外,一个或多个处理器504还能够连接到至少一个接口或用于显示、传送和/或接收数据、内容等的其它单元。在这方面,接口(一个或多个)能够可选地至少包括一个通信接口 512或用于传送和/或接收数据、内容等的其它单元以及能够包括显示器514和/或用户输入接口 516的至少一个用户界面。在一个方面,可选的通信接口 512能够用于通过网络108传输数据或从诸如本文描述的这一个之类的远程计算设备102接收命令以及将信息传输给远程计算设备102。在一个方面,如本文所述,网络108能够是高级量测架构(AMI)网络。在一个方面,通信接口 512能够包括诸如Wi-Fi收发器之类的无线通信接口。反过来,用户输入接口 516能够包括诸如键盘、触摸屏、操纵杆或其它输入设备之类的、任何数量的允许实体接收来自用户的数据的设备。图6A和6B示出了图5中所示的实体的备选实施例并示出了能够作为第一设备104或第二设备106中的一个操作的实体的示意框图。在图6A中,所示的实体包括图5A中所示的除了显示器之外的所有元件。在图6B中,所示的实体包括图5A中所示的除了显示 器和定位设备之外的所有元件。在这样的实施例中,实体的位置能够间歇式地(诸如在移动实体时)存放在实体的存储器506中,或者位置信息能够存储在诸如计算设备(服务器)102之类的单独的设备的存储器中。图7是示出实践本发明的实施例的方法的流程图。所描述的方法包括用于基于位置的、在第一设备和第二设备间的相互证书认证的方法的实施例。在步骤702,从第一设备接收请求。在一个方面,请求伴随着第一设备的位置信息(例如,坐标)。在一个方面,将请求从第一设备发送给服务器。在步骤704处,响应于请求,为第一设备登记第一公钥。在一个方面,响应于请求为第一设备登记第一公钥包括为第一设备生成公钥/私钥对和将密钥对分配给第一设备。在一个方面,由服务器生成第一公钥并将第一公钥从服务器分配给第一设备。在另一方面,响应于请求为第一设备登记第一公钥包括从第一设备接收第一公钥,其中驻留在第一设备上的软件代理为第一设备生成公钥/私钥对。在一个方面,由服务器接收到来自第一设备的第一公钥。在步骤706,基于相对于第一设备的位置的第二设备的位置来确定第一设备能够访问的至少一个第二设备。在一个方面,第二设备是从多个设备来确定的。在一个方面,第二设备根据它位于第一设备的既定距离或半径处或它位于第一设备的既定距离或半径之内来确定。在一个方面,基于相对于第一设备的位置的第二设备的位置来确定第一设备能够访问的至少一个第二设备,包括服务器处理器从存储在与服务器相关联的存储器内的数据库中检索存储的一个或多个第二设备的位置,并将第一设备的位置与一个或多个第二设备的位置比较,以确定第二设备是否位于第一设备的既定距离或半径处或是否位于第一设备的既定距离或半径之内。在另一方面,第二设备配置成确定其位置,并且基于相对于第一设备的位置的第二设备的位置来确定第一设备能够访问的至少一个第二设备,包括服务器处理器从第二设备接收位置信息并将第一设备的位置与第二设备的位置比较,以确定第二设备是在离第一设备的既定距离处或在第一设备的既定距离之内。在一个方面,服务器将第一设备希望访问第二设备通知给第二设备。在步骤708,为第二设备登记第二公钥,其中登记将第二设备与第二公钥关联。在一个方面,驻留在第二设备上的第二软件代理响应于第一设备希望访问第二设备的通知而生成第二公钥和第二私钥。在一个方面,由第二设备接收从服务器来的通知。在另一方面,由第二设备接收从第一设备来的通知。在一个方面,为第二设备登记第二公钥包括为第二设备生成公钥/私钥对并将密钥对分配给第二设备。在一个方面,服务器为第二设备生成公钥/私钥对并将密钥对分配给第二设备。在另一方面,为第二设备登记第二公钥包括从第二设备接收第二公钥,其中驻留在第二设备上的软件代理为第二设备生成公钥/私钥对。在一个方面,从第二设备来的第二公钥是由服务器接收的。在步骤710,将第一公钥发送给第二设备,并且在步骤712,将第二公钥发送给第一设备。在步骤714,在第一设备和第二设备连接时,它们使用第一公钥和第二公钥彼此进行相互认证。在一个方面,第一公钥或第二公钥只有在第一设备104位于第二设备的既定距离处或位于第二设备的既定距离之内时才是有效的。在一个方面,第一公钥和第二公钥仅在既定的时间段内有效。上面已经将以上系统描述为包括单元。本领域的技术人员将理解的是,这是功能性描述,软件、硬件或软件和硬件的组合能够执行相应的功能。诸如第一设备104、第二设备106、服务器102、网络108等之类的单元能够是软件、硬件或软件和硬件的组合。单元能够包括图8所示的和下面描述的相互认证软件806。现在参考图8,图8示出了将受益于本发明的实施例的一类电子设备。如图所示,电子设备可以是服务器102。 图8是示出了用于执行所公开的方法的示范性操作环境的框图。这个示范性操作环境只是操作环境的一个示例,并不意于对操作环境架构的功能性或使用的范围提出任何限制。操作环境也不应解释为具有关于在示范性操作环境中示出的组件的任何一个或组件的组合的依赖或要求。本方法和系统能够与许多其它的通用计算系统环境或配置或专用计算系统环境或配置一起操作。能够适合用于系统和方法的广为人知的计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、膝上型设备和多处理器系统。附加的示例包括机器监控系统、可编程消费类电子器件、网络PC、小型计算机、大型计算机、智能电表、智能电网组件、包括任何上述系统或设备的分布式计算环境等。公开的方法和系统的处理能够通过软件组件进行。公开的系统和方法能够在诸如由一个或多个计算机或其它设备执行的程序模块之类的计算机可执行指令的通常上下文中描述。一般来说,程序模块包括执行具体任务或实现具体的抽象数据类型的计算机代码、例程、程序、对象、组件、数据结构等。公开的方法也能够在基于网格和分布式计算环境中实践,其中任务由通过通信网络连接的远程处理设备进行。在分布式计算环境中,程序模块能够位于包括存储器存储设备的本地计算机存储介质和远程计算机存储介质两者中。此外,本领域的技术人员将意识到的是,本文公开的系统和方法能够通过诸如服务器102之类的计算设备实施。服务器102的组件能够包括但不限于一个或多个处理器或处理单元803,系统存储器812,以及将包括处理器803的各系统组件耦合到系统存储器812的系统总线813。在多个处理单元803的情况下,系统可以利用并行计算。系统总线813代表若干可能类型的总线结构的一种或几种,包括存储器总线或存储器控制器、外设总线、加速图形端口和使用多种总线结构的任何一个的处理器或本地总线。通过举例的方式,这样的架构能够包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA (EISA)总线、视频电子标准协会(VESA)本地总线、加速图形端口(AGP)总线和外围组件互连(PCI)、PCI-快速总线、个人计算机存储卡行业协会(PCMCIA)、通用串行总线(USB)等。总线813和在此描述中指定的所有总线也能够通过有线或无线网络连接实施,并且包括处理器803、大容量存储设备804、操作系统805、相互认证软件806、密钥登记数据807、网络适配器808、系统存储器812、输入/输出接口 810、显示适配器809、显示设备811和人机接口 802的各子系统,能够包含在位于一个或多个远程计算设备或客户端814a、814b、814c内,该一个或多个远程计算设备或客户端814a、814b、814c处于物理上独立的位置,通过这种形式的总线连接,在效果上执行完全分布式的系统或分布式架构。服务器102通常包括各种计算机可读介质。示范性的可读介质能够是任何可得到的非暂时性的和服务器102可访问的介质,并且包括但并不意味着限制于例如易失性介质和非易失性介质、可移动介质和不可移动介质二者。系统存储器812包括诸如随机存取存 储器(RAM)之类的易失性存储器形式的、和/或诸如只读存储器(ROM)之类的非易失性存储器形式的计算机可读介质。系统存储器812通常包含数据,其中数据是诸如密钥登记数据807和/或诸如操作系统805和相互认证软件806之类的程序模块,该数据可由处理单元803立即访问和/或正在被处理单元803在其上操作。例如,存储器812可以存储从服务器102传送来的内容和/或由服务器102接收的内容。还例如,存储器812可存储软件应用、指令等以使一个或多个处理器803执行与根据本发明实施例的实体的操作有关的步骤。具体地,一个或多个处理器803可配置成执行在本文中更详细地讨论的用于基于位置的、在第一设备和第二设备之间的相互证书认证的过程,包括从第一设备接收请求,其中请求包括第一设备的位置;响应于请求为第一设备登记第一公钥,其中登记将第一公钥与第一设备关联;基于相对于第一设备的位置的第二设备的位置来确定第一设备能够访问的至少一个第二设备;为第二设备登记第二公钥,其中登记将第二设备与第二公钥关联;将第二公钥发送给第一设备;将第一公钥发送给第二设备;并且当第一设备和第二设备连接时对第二设备相互认证第一设备。在另一方面,服务器102也能够包括其它非暂时性的、可移动/不可移动的、易失性/非易失性的计算机存储介质。通过举例的方式,图8示出了能够为服务器102提供计算机代码、计算机可读指令、数据结构、程序模块和其它数据的非易失性存储的大容量存储设备804。例如但不意味着是限制性的,大容量存储设备804能够是硬盘、可移动磁盘、可移动光盘、磁带盒或其它磁存储设备、闪速存储器卡、CD-ROM、数字多功能盘(DVD)或其它光存储、随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)等。可选地,大容量存储设备804上能够存储任意数量的程序模块,以举例的方式,包括操作系统805和相互认证软件806。操作系统905和相互认证软件806 (或其某些组合)中的每一个能够包括编程元件和相互认证软件806。密钥登记数据807也能够存储在大容量存储设备904中。密钥登记数据807能够存储在本领域已知的任意一个或多个数据库中。这样的数据库的不例包括DB2 ( IBM公司,纽约州Armonk)、Microsoft Access ^Microsoft SQL服务器(微软公司,华盛顿州Bellevue)、Oracle (甲骨文公司,加利福尼亚州RedwoodShores)、mySQL、PostgreSQL等。数据库可以是集中式的,或者分布在多个系统中。在另一方面,用户能够通过输入设备(未示出)将命令和信息输入服务器102。这样的输入设备的示例包括但不仅限于键盘、指示设备(例如,“鼠标”)、话筒、游戏杆、扫描仪、诸如手套和其它身体覆盖物的触觉输入设备等。这些和其它输入设备能够通过与系统总线813耦合的人机接口 802连接到处理单元803,但也能够通过诸如并行端口、游戏端口、IEEE1394端口(也称为火线(FireWire)端口)、串行接口或通用串行总线(USB)之类的其它的接口和总线结构连接。又一方面,显示设备811还能够通过诸如显示适配器809之类的接口连接到系统总线813。设想服务器102能够有多于一个的显示适配器809,以及服务器102能够有多于一个的显示设备811。例如,显示设备能够是监视器、IXD (液晶显示器)或投影机。除了显不设备811外,其它输出外围设备能够包括诸如扬声器(未不出)和打印机(未不出)之类的、能够通过输入/输出接口 810连接到服务器102的组件。方法的任何步骤和/或结果能够以任何形式输出给输出设备。这样的输出可以是任何形式的可视化表示,包括但不限于文本的、图形的、动画的、声音的、触觉的形式等。服务器102能够在使用到一个或多个远程计算设备或客户端814a、814b、814c的逻辑连接的网络环境中操作。通过举例的方式,远程计算设备814能够是个人计算机、便携式计算机、服务器、路由器、网络计算机、供应商或制造商的计算 设备、主站、电动汽车充电站(EVCS)、对等设备(peer device)或其它常见的网络节点等等。在一个方面,远程计算设备814能够是如本文所述的第一设备104或第二设备106。在服务器102和远程计算设备或客户端814a、814b、814c之间的逻辑连接能够通过局域网(LAN)和广域网(WAN)进行。这样的网络连接能够通过网络适配器808。网络适配器808能够在有线和无线环境二者中实现。这样的网络环境在办公室、企业范围内的计算机网络、内联网和诸如互联网或AMI网络之类的其它网络815中是传统的和普通的。为了说明的目的,在本文中将诸如操作系统805之类的应用程序和其它可执行程序组件作为离散框示出,虽然认识到这样的程序和组件在不同的时间驻留在服务器102的不同的存储组件中,并且由服务器102的数据处理器执行。相互认证软件806的实施可存储在计算机可读介质中或通过某种形式的计算机可读介质传送。任何公开的方法能够用包含在计算机可读介质中的计算机可读指令来执行。计算机可读介质可以是计算机能够访问的任何可用的介质。通过举例的方式并且不意味着是限制性的,计算机可读介质能够包括“计算机存储介质”和“通信介质”。“计算机存储介质”包括以任何方法或技术实施的易失性和非易失性的、可移动和不可移动的介质,以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据之类的信息。示范性的计算机存储介质包括但不限于RAM、R0M、EEPR0M,闪速存储器或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光存储、磁带盒、磁带、磁盘存储或其它磁存储设备,或能够用于存储所希望的信息并能够通过计算机访问的任何其它介质。方法和系统能够采用诸如机器学习和迭代学习之类的人工智能技术。这样的技术的示例包括但不限于专家系统、基于实例的推理、贝叶斯网络、基于行为的人工智能、神经网络、模糊系统、进化计算(例如,遗传算法)、群体智能(例如,蚂蚁算法)和混合智能系统(例如,通过神经网络生成的专家推断规则或从统计学习生成的生产规则)。如上所述和如本领域的技术人员将意识到的,本发明的实施例可作为系统、方法或计算机程序产品来配置。因此,本发明的实施例可包括各种单元,其包括完全是硬件的单元、完全是软件的单元或软件和硬件的任何组合。此外,本发明的实施例可采用在计算机可读存储介质上的计算机程序产品的形式,该计算机可读存储介质具有包含于存储介质中的计算机可读程序指令(例如,计算机软件)的。可使用包括硬盘、CD-ROM、光存储设备或磁存储设备的任何合适的非暂时性计算机可读存储介质。上面已经参照方法、设备(即系统)和计算机程序产品的框图和流程图示描述了本发明的实施例。将会理解的是,框图和流程图示的每个框和框图和流程图示中的框的组合,分别能够通过包括计算机程序指令的各种单元来执行。这些计算机程序指令可加载到通用计算机、专用计算机或其它可编程数据处理设备,诸如在前面参照图5、图6A或6B讨论的一个或多个处理器504或者在前面参照图8讨论的一个或多个处理器803,以产生专用的机器,使得在计算机或其它可编程数据处理设备上执行的指令创建用于实施在流程框或框中 指定的功能的单元。这些计算机程序指令也可存储在非暂时性的计算机可读存储器上,其能够指导计算机或其它可编程数据处理装置(例如,诸如在前面参照图5、图6A或6B讨论的一个或多个处理器504或者在前面参照图8讨论的一个或多个处理器803)以特定的方式起作用,使得在计算机可读存储器中存储的指令产生包括用于实施在流程图框或多个框中指定的功能的计算机可读指令的制品。计算机程序指令也可加载到计算机或其它可编程数据处理设备,以引起在计算机或其它可编程设备上执行一系列的操作步骤,以产生计算机实施的过程,使得在计算机或其它可编程设备上执行的指令提供用于实施在流程图框或多个框中指定的功能的步骤。因此,框图和流程图示的多个框支持执行指定的功能的单元的组合,执行指定的功能的步骤的组合以及执行指定的功能的程序指令单元。还将理解的是,框图和流程图示的每一个框以及框图和流程图示中的多个框的组合能够由基于专用硬件的计算机系统实施,该计算机系统执行指定功能或步骤,或专用硬件和计算机指令的组合。除非另有明文规定,决无意将在本文中阐述的任何方法解释为其步骤需要以特定的顺序进行。因此,在方法权利要求不实际上叙述由其步骤遵循的顺序或另外没有在权利要求和描述中特别声明步骤限于特定的顺序的情况下,决无意在任何方面推断顺序。这适用于任何可能的非明文解释的情况,包括关于步骤安排或操作流程方面的逻辑事项;从语法组织或标点所推出的明显意义;在说明书中描述的实施例的数量或类型。贯穿这个申请,可引用各种出版物。在此通过引用将这些出版物的公开整体上并入到这个申请中,以便更充分地描述方法和系统所属的现有技术。在本文阐述的发明的许多修改和其它实施例将会浮现在发明的这些实施例所属的领域的、受益于在上面的描述及相关的附图中提出的教导的技术人员的脑海中。因此,可以理解的是,本发明的实施例并不限于公开的特定实施例,并且意在将修改和其它实施例包括在所附权利要求的范围内。此外,虽然上述的描述和相关附图在元件和/或功能的某些示范性组合的上下文中描述了示范性的实施例,但应该意识到,备选实施例可提供元件和/或功能的不同组合而不偏离所附权利要求的范围。在这方面,例如,也拟在所附权利要求的一些中阐明与上面明确描述的元件和/或功能不同的组合。虽然在本文采用了具体术语,但它们只是在一般的和描述性的意义上使用,而不是出于限制的目的。部件列表
100 范性分布式系统 102管理服务器 104第一设备106—个或多个第二设备 108通信网络
110一个或多个驻留的软件应用
112—个或多个驻留的软件应用 114第三设备 116既定距离
300用于基于位置的、在第一设备和第二设备之间的相互证书认证的系统
302第一软件代理
304第一通信接口 306定位设备
308第二软件代理
310第二通信接口
312存储器
314服务器通信接口
316服务器处理器
400用于基于位置的、在第一设备和第二设备之间的相互证书认证的系统的一个备选实施例
402定位设备
502定位设备
504一个或多个处理器
506存储器
512通信接口
514显示
516用户输入接口
802人机接口
803处理单元
804大规模存储设备
805操作系统
806相互认证软件
807密钥登记数据
808网络适配器
809显示适配器
810输入/输出接口
811显示设备
812系统存储器
813系统总线
814一个或多个远程计算设备或客户端
815网络。
权利要求
1.ー种方法,用于基于位置的、在第一设备(104)和第二设备(106)之间的相互证书认证,所述方法包括 接收来自第一设备(104)的请求,其中所述请求包括所述第一设备(104)的位置;响应于所述请求为所述第一设备(104)登记第一公钥,其中所述登记将所述第一设备(104)与所述第一公钥关联; 基于相对于所述第一设备(104)的位置的所述第二设备(106)的位置来确定所述第一设备(104)能够访问的至少ー个第二设备(106); 为所述第二设备(106)登记第二公钥,其中所述登记将所述第二设备(106)与所述第ニ公钥关联; 将所述第二公钥发送给所述第一设备(104); 将所述第一公钥发送给所述第二设备(106);以及 当所述第一设备(104)和所述第二设备(106)连接时对所述第二设备(106)相互认证所述第一设备(104)。
2.如权利要求I所述的方法,其中,响应于所述请求为所述第一设备(104)登记第一公钥包括为所述第一设备(104)生成公钥/私钥对并将所述密钥对分配给所述第一设备(104)。
3.如权利要求I所述的方法,其中,响应于所述请求为所述第一设备(104)登记第一公钥包括从所述第一设备(104)接收所述第一公钥,其中驻留在所述第一设备(104)上的软件代理(110)为所述第一设备(104)生成公钥/私钥对。
4.如权利要求I所述的方法,其中,为所述第二设备(106)登记第二公钥包括为所述第二设备(106)生成公钥/私钥对并将所述密钥对分配给所述第二设备(106)。
5.如权利要求I所述的方法,其中,为所述第二设备(106)登记第二公钥包括从所述第二设备(106)接收所述第二公钥,其中驻留在所述第二设备(106)上的软件代理(112)为所述第二设备(106)生成公钥/私钥对。
6.一种系统,用于基于位置的、在第一设备(104)和第二设备(106)之间的相互证书认证,所述系统包括 第一设备(104),其中所述第一设备(104)至少包括在第一处理器(504)上执行的第一软件代理(302)和第一通信接ロ(304),并且所述第一设备(104)配置成确定其位置; 第二设备(106),其中所述第二设备至少包括在第二处理器(504)上执行的第二软件代理(308)和第二通信接ロ(310); 服务器(102),至少包括存储器(312)、服务器通信接ロ(810)和服务器处理器(803),其中所述服务器(102)配置成与所述第一设备(104)和所述第二设备(106)通信,并且其中所述服务器处理器(803)配置成 从第一设备(104)接收请求,其中所述请求包括所述第一设备(104)的位置; 响应于所述请求为所述第一设备(104)登记第一公钥,其中所述登记将所述第一设备(104)与所述第一公钥关联; 基于相对于所述第一设备(104)的位置的所述第二设备(106)的位置来确定所述第一设备(104)能够访问的至少ー个第二设备(106); 为所述第二设备(106)登记第二公钥,其中所述登记将所述第二设备(106)与所述第ニ公钥关联; 将所述第二公钥发送给所述第一设备(104); 将所述第一公钥发送给所述第二设备(106);以及 当所述第一设备(104)和所述第二设备(106)连接时对所述第二设备(106)相互认证所述第一设备(104)。
7.如权利要求6所述的系统,其中所述第一设备(104)是移动设备而所述第二设备(106)是公用事业设备,其中所述公用事业设备包括ー个或多个公用事业电表、相量测量单元、相量数据集中器和电カ质量产品,并且其中所述移动设备包括一个或多个带有GPS能力的膝上型计算机、带有GPS能力的移动电话和平板式计算设备。
8.如权利要求6所述的系统,其中所述第一设备(104)包括GPS接收器(306)并且所述第一设备(104)使用所述GPS接收器(306)确定其位置。
9.如权利要求6所述的系统,其中基于相对于所述第一设备(104)的位置的所述第ニ设备(106)的位置确定所述第一设备(104)能够访问的至少ー个第二设备(106),包括服务器处理器(803)从存储在所述存储器(812)中的数据库检索存储的ー个或多个第二设备(106)的位置并将所述第一设备(104)的所述位置与所述ー个或多个第二设备(106)的所述位置进行比较,以确定所述第二设备(106)是否在离所述第一设备(104)的既定距离处或在离所述第一设备(104)的既定距离之内。
10.如权利要求6所述的系统,其中所述第二设备(106)配置成确定其位置,并且基于相对于所述第一设备(104)的位置的所述第二设备(106)的位置来确定所述第一设备(104)能够访问的至少ー个第二设备(106),包括服务器处理器(803)从所述第二设备(106)接收位置信息并将所述第一设备(104)的所述位置与所述第二设备(106)的所述位置进行比较,以确定所述第二设备(106)是否在离所述第一设备(104)的既定距离处或在离所述第一设备(104)的既定距离之内。
全文摘要
在一个方面,描述了基于位置的、在第一设备(104)和第二设备(106)之间的相互证书认证的方法。方法的这个实施例包括从第一设备(104)接收请求,其中请求包括第一设备(104)的位置;响应于请求为第一设备(104)登记第一公钥,其中登记将第一设备(104)与第一公钥关联;基于相对于第一设备(104)的位置的第二设备(106)的位置来确定第一设备(104)能够访问的至少一个第二设备(106);为第二设备(106)登记第二公钥,其中登记将第二设备(106)与第二公钥关联;将第二公钥发送给第一设备(104);将第一公钥发送给第二设备(106);以及当第一设备(104)和第二设备(106)连接时对第二设备(106)相互认证第一设备(104)。
文档编号H04L29/06GK102857492SQ20121021484
公开日2013年1月2日 申请日期2012年6月27日 优先权日2011年6月27日
发明者S.S.拉克什米纳拉亚南 申请人:通用电气公司